Monitora o Microsoft Tunnel

Após a instalação do Microsoft Tunnel, você pode exibir a configuração do servidor e a integridade do servidor no centro de administração Microsoft Intune.

Usar a interface do usuário do Centro de Administração

Entre no Microsoft Intune centro de administração e vá para a administração> delocatários microsoft tunnel Gateway>Health status.

Em seguida, selecione um servidor e abra a guia Integridade marcar para exibir a integridade dos servidores status métricas. Por padrão, cada métrica usa valores de limite predefinidos que determinam o status. As métricas a seguir dão suporte à personalização desses limites:

• Uso da CPU
• Uso da memória
• Uso de espaço em disco
• Latência

Valores padrão para as métricas de integridade do servidor:

• Último check-in: quando o servidor do Gateway do Tunnel fez o último check-in com o Intune.

  • Íntegro – O último check-in foi nos últimos cinco minutos.
  • Não íntegro – O último marcar foi há mais de cinco minutos.

• Conexões atuais – O número de conexões exclusivas que estavam ativas no último check-in do servidor.

  • Íntegro – Havia 4.990 ou menos conexões
  • Não íntegro – Havia mais de 4.990 conexões ativas

• Taxa de transferência – Os megabits por segundo de tráfego passando pela NIC do Gateway do Tunnel no último check-in do servidor.

• Uso da CPU – A média de uso da CPU pelo servidor do Gateway do Tunnel a cada cinco minutos.

  • Íntegro – 95% ou menos
  • Aviso – 96% a 99%
  • Não íntegro – 100% de uso

• Núcleos de CPU – o número de núcleos de CPU disponíveis neste servidor.

  • Íntegro – 4 ou mais núcleos
  • Aviso – 1, 2 ou 3 núcleos
  • Núcleos não íntegros -0

• Uso de memória – A média de uso de memória pelo servidor do Gateway do Tunnel a cada cinco minutos.

  • Íntegro – 95% ou menos
  • Aviso – 96% a 99%
  • Não íntegro – 100% de uso

• Uso de espaço em disco – a quantidade de espaço em disco que o servidor do Gateway de Túnel usa.

  • Saudável – acima de 5 GB
  • Aviso – 3 a 5 GB
  • Não íntegro – abaixo de 3 GB

• Latência – A quantidade média de tempo necessário para que os pacotes de IP cheguem e, depois, saiam da interface de rede.

  • Íntegro – Menos de 10 milissegundos
  • Aviso – De 10 milissegundos a 20 milissegundos
  • Não íntegro – Mais de 20 milissegundos

• Certificado do agente de gerenciamento – o certificado do agente de gerenciamento é usado pelo Gateway de Túnel para autenticar com o Intune, portanto, é importante renová-lo antes de expirar. No entanto, ele deve se renovar automaticamente.

  • Íntegro – a expiração do certificado é de mais de 30 dias.
  • Aviso – a expiração do certificado é menor que 30 dias.
  • Não íntegro – o certificado expirou.

• Certificado TLS – o número de dias até que o certificado TLS (Transport Layer Security) que protege o tráfego entre clientes e o servidor do Gateway de Túnel expire.

  • Íntegro – Mais de 30 dias
  • Aviso – 30 dias ou menos
  • Não íntegro: o certificado expirou

• Revogação do certificado TLS – O Gateway de Túnel tenta marcar o status de revogação do certificado TLS (Transport Layer Security) usando um endereço OCSP (Protocolo de Status de Certificado Online) ou CRL (lista de revogação de certificado), conforme definido pelo certificado TLS. Esse marcar exige que o servidor tenha acesso ao ponto de extremidade OCSP ou ao endereço CRL, conforme definido no certificado.

  • Saudável – O certificado TLS não é revogado.
  • Aviso – não é possível marcar se o certificado TLS for revogado. Verifique se os pontos de extremidade definidos no certificado podem ser acessados no servidor tunnel.
  • Não íntegro – o certificado TLS é revogado.

  Planeje substituir um certificado TLS revogado.

  Para saber mais sobre o OCSP (Protocolo de Status do Certificado Online), consulte Protocolo de Status do Certificado Online em wikipedia.org.

• Acessibilidade de rede interna – Status da verificação mais recente da URL interna. Configure a URL como parte de uma Configuração de Site do Tunnel.

  • Íntegro: o servidor pode acessar a URL especificada nas propriedades do site.
  • Não íntegro: o servidor não pode acessar a URL especificada nas propriedades do site.
  • Desconhecido – esse status é exibido quando você não define uma URL nas propriedades do site. Esse status não afeta o status geral do site.

• Capacidade de atualização – a capacidade do servidor de entrar em contato com o Repositório de Contêiner da Microsoft, que permite que o Gateway de Túnel seja atualizado quando as versões estiverem disponíveis.

  • Saudável – O servidor não entrou em contato com o Repositório de Contêineres da Microsoft nos últimos 5 minutos.
  • Não íntegro – o servidor não entra em contato com o Repositório de Contêiner da Microsoft há mais de cinco minutos.

• Versão do servidor: o status do software do servidor de gateway de túnel, em relação à versão mais recente.

  • Íntegro – atualizado com a versão mais recente do software
  • Aviso – uma versão anterior
  • Não íntegro – duas ou mais versões anteriores e sem suporte

  Quando a Versão do servidor não estiver Íntegra, planeje instalar atualizações do Microsoft Tunnel.

• Contêiner do servidor – determina se o contêiner que hospeda o servidor do Microsoft Tunnel está em execução.

  • Saudável – O status de contêiner do servidor é saudável.
  • Não íntegro – O status de contêiner do servidor não é saudável.

• Configuração do servidor – determina se a configuração do servidor é aplicada com êxito ao servidor tunnel de Microsoft Intune configurações do site.

  • Saudável – A configuração do servidor foi aplicada com êxito.
  • Não íntegro – A configuração do servidor não pôde ser aplicada.

• Logs do servidor – determina se os logs foram carregados no servidor nos últimos 60 minutos.

  • Íntegro – os logs do servidor foram carregados nos últimos 60 minutos.
  • Não íntegro – os logs do servidor foram carregados nos últimos 60 minutos.

Gerenciar limites de status de integridade

Você pode personalizar as seguintes métricas de status de integridade do Microsoft Tunnel para alterar os limites usados por cada uma delas para relatar seu status. As personalizações são para todo o locatário e se aplicam a todos os servidores do Tunnel. As métricas de verificação de integridade que podem ser personalizadas incluem:

• Uso da CPU
• Uso da memória
• Uso de espaço em disco
• Latência

Para modificar um valor de limite de métricas:

1. Entre no centro de administração Microsoft Intune e vá para a administração> de locatários statusde Integridadedo Gateway do Microsoft Tunnel>.

2. Selecione Configurar limites.

3. Na página Limites configurados, defina novos limites para cada categoria de marcar de integridade que você deseja personalizar.

   • Os valores de limite se aplicam a todos os servidores em todos os sites.
   • Selecione Reverter para o padrão para restaurar todos os limites de volta para os valores padrão.

4. Selecione Salvar.

5. No painel status de integridade, selecione Atualizar para atualizar o status de todos os servidores com base nos valores de limite personalizados.

Depois de modificar os limites, os valores na guia Verificação de integridade serão atualizados automaticamente para refletir o status deles com base nos limites atuais.

Tendências de status da integridade para servidores do Tunnel

Visualize as tendências do status da integridade de métricas de integridade do Gateway do Microsoft Tunnel na forma de um gráfico. Os dados para os gráficos são calculados em um bloco de três horas e, por isso, podem ter um atraso de até três horas.

Os gráficos de tendência do status de integridade estão disponíveis para as seguintes métricas:

• Conexões
• Uso da CPU
• Uso de espaço em disco
• Uso da memória
• Latência média
• Taxa de transferência

Para exibir gráficos de tendência:

1. Entre no Centro de administração do Microsoft Intune.

2. Acesse Administração de locatários>Gateway do Microsoft Tunnel>Status da integridade>Selecionar um servidor e selecione Tendências

3. Use a lista suspensa Métrica para selecionar o gráfico de métrica que você deseja exibir.

Usar a ferramenta de linha de comando mst-cli

Use a ferramenta de linha de comando mst-cli para obter informações sobre o servidor do Microsoft Tunnel. Esse arquivo é adicionado ao servidor Linux quando o Microsoft Tunnel é instalado. A ferramenta está localizada em: /usr/sbin/mst-cli.

Para obter mais informações e exemplos de linha de comando, confira ferramenta de linha de comando mst-cli para o Microsoft Tunnel.

Ver logs do Microsoft Tunnel

O Microsoft Tunnel registrará informações nos logs do servidor Linux no formato syslog. Para ver as entradas de log, use o comando journalctl -t seguido por uma ou mais marcas que são específicas para entradas do Microsoft Tunnel:

• mstunnel-agent: exibir logs do agente.

• mstunnel_monitor: exibir logs de tarefas de monitoramento.

• ocserv – Exibir logs de servidor.

• ocserv-access - Exibir logs de acesso.

  Por padrão, o log de acesso está desabilitado. A ativação dos logs de acesso pode reduzir o desempenho, dependendo do número de conexões ativas e dos padrões de uso no servidor. O registro de conexões DNS aumenta o detalhamento dos logs, o que pode se tornar barulhento.

  Os logs de acesso têm o seguinte formato: <Server timestamp><Server Name><ProcessID on Server><userId><deviceId><protocol><src IP and port><dst IP and port><bytes sent><bytes received><connection time in seconds> Por exemplo:

  • 25 de fevereiro 16:37:56 MSTunnelTest-VM ocserv-access[9528]: ACCESS_LOG,41150dc4-238x-4dwv-9q89-55e987f30c32,f5132455-ef2dd-225a-a693-afbbqed482dce,tcp,169.254.54.149:49462,10.88.0.5:80,112,60,10

  Importante

  No ocserv-access, o valor deviceId identifica a instância de instalação exclusiva do Microsoft Defender que é executado em um dispositivo e não identifica a ID do dispositivo do Intune ou Microsoft Entra ID do dispositivo. Se o Defender estiver desinstalado e reinstalado em um dispositivo, uma nova instância para o DeviceId* será gerada.

  Para habilitar o log de acesso:

  1. definir TRACE_SESSIONS=1 in /etc/mstunnel/env.sh
  2. definir TRACE_SESSIONS=2 para incluir o registro de conexões DNS
  3. Executar mst-cli server restart para reiniciar o servidor.

  Se os logs de acesso forem muito barulhentos, você poderá desativar o log de conexão DNS definindo TRACE_SESSIONS=1 e reiniciar o servidor.

• OCSERV_TELEMETRY – Exibir detalhes de telemetria para conexões com o Tunnel.

  Os logs de telemetria têm o seguinte formato, com os valores de bytes_in, bytes_out e duração sendo usados apenas para operações de desconexão: <operation><client_ip><server_ip><gateway_ip><assigned_ip><user_id><device_id><user_agent><bytes_in><bytes_out><duration> Por exemplo:

  • 20 de outubro 19:32:15 mstunnel ocserv[4806]: OCSERV_TELEMETRY,connect,31258,73.20.85.75,172.17.17.0.3,3169.254.0.1,169.254.107.209,3780e1fc-3ac2-4268-a1fd-dd910ca8c13c, 5A683ECC-D909-4E5F-9C67-C0F595A4A70E,MobileAccess iOS 1.1.34040102

  Importante

  Em OCSERV_TELEMETRY, o valor deviceId identifica a instância de instalação exclusiva do Microsoft Defender que é executado em um dispositivo e não identifica a ID do dispositivo do Intune ou Microsoft Entra ID do dispositivo. Se o Defender estiver desinstalado e reinstalado em um dispositivo, uma nova instância para o DeviceId* será gerada.

Exemplos de linha de comando para journalctl:

• Para visualizar informações apenas para o servidor de túnel, execute journalctl -t ocserv.
• Para exibir o log de telemetria, execute journalctl -t ocserv | grep TELEMETRY
• Para visualizar informações de todas as opções de log, você pode executar journalctl -t ocserv -t ocserv-access -t mstunnel-agent -t mstunnel_monitor.
• Adicionar -f ao comando para exibir uma visualização ativa e contínua do arquivo de log. Por exemplo, para monitorar ativamente os processos em andamento para o Microsoft Tunnel, execute journalctl -t mstunnel_monitor -f.

Mais opções para journalctl:

• journalctl -h: exibir a ajuda de comando para journalctl.
• man journalctl – Exibir informações adicionais.
• man journalctl.conf – Exibir informações sobre a configuração. Para obter mais informações sobre journalctl, confira a documentação para a versão do Linux que você usa.

Carregamento fácil de logs de diagnóstico para servidores tunnel

Como um auxílio de diagnóstico, você pode usar um único clique no centro de administração do Intune para que o Intune habilite, colete e envie logs verbosos de um Servidor de Gateway de Túnel diretamente para a Microsoft. Esses logs verbosos ficam disponíveis diretamente para a Microsoft quando você está trabalhando com a Microsoft para identificar ou resolve problemas com um servidor tunnel.

Você pode coletar e carregar logs verbosos de um evento antes de abrir um incidente de suporte ou após solicitação caso já esteja trabalhando com a Microsoft para examinar uma operação de servidores tunnel.

Para usar essa funcionalidade:

1. Abra o Microsoft Intune centro de administração acesse Administração> delocatários Microsoft Tunnel Gateway> selecione um servidor> e selecione a guia Logs.

2. Na guia Logs , localize a seção Enviar logs de servidor verboso e selecione Enviar logs.

Quando você seleciona Enviar logs para um servidor tunnel, o processo a seguir começa:

• Primeiro, o Intune captura o conjunto atual de logs do servidor tunnel e os carrega diretamente na Microsoft. Esses logs são coletados usando o nível de verbosidade de log atual dos servidores. Por padrão, o nível de verbosidade do servidor é zero (0).
• Em seguida, o Intune habilita um nível de verbosidade de quatro (4) para os logs do servidor tunnel. Esse nível de verbosidade de detalhes é coletado por oito horas.
• Durante as oito horas de coleta de logs verbosas, o problema ou operação que está sendo investigado deve ser reproduzido para capturar os detalhes verbosos nos logs.
• Após oito horas, o Intune coleta um segundo conjunto de logs de servidor que incluem os detalhes verbosos e os carrega na Microsoft. No momento do upload, o Intune também redefine os logs do servidor tunnel para usar o nível de verbosidade padrão de zero (0). Se você tiver aumentado anteriormente o nível de verbosidade do Servidor, depois que o Intune redefinir a verbosidade para zero, você poderá restaurar o nível de verbosidade personalizado.

Cada conjunto de logs coletados e carregados pelo Intune é identificado como um conjunto separado com os seguintes detalhes que aparecem no centro de administração abaixo do botão Enviar logs :

• Uma hora de início e término da coleção de logs
• Quando o upload foi gerado
• O log define o nível de verbosidade
• Uma ID de Incidente que pode ser usada para identificar esse conjunto de logs específico

Depois de capturar um problema durante a execução da coleção de logs verbosas, você pode fornecer a ID de incidente desse log definida como Microsoft para ajudar na investigação.

Sobre a coleção de logs

• O Intune não para ou reinicia o servidor tunnel para habilitar ou desabilitar o log verboso.
• O período de registro em log verboso de oito horas não pode ser estendido ou interrompido mais cedo.
• Você pode usar o processo Enviar logs com a maior frequência necessária para capturar um problema com log verboso. No entanto, o aumento da verbosidade de log adiciona tensão ao Servidor de Túnel e não é recomendado como uma configuração regular.
• Após o fim do log verboso, o nível de verbosidade padrão de zero é definido para logs do servidor tunnel, independentemente dos níveis de verbosidade definidos anteriormente.
• Os seguintes logs são coletados por meio desse processo:
  • mstunnel-agent (logs de agente)
  • mstunnel_monitor (Monitoramento de logs de tarefas)
  • ocserv (logs do servidor)

Os logs de acesso ocserv não são coletados ou carregados.

Problemas conhecidos

A seguir estão os problemas conhecidos do Microsoft Tunnel.

Integridade do servidor

Os clientes podem usar com êxito o Túnel quando a status de integridade do servidor é exibida como offline

Problema: na guia Status de Integridade do Túnel, o status de integridade de um servidor relata como offline indicando que ele está desconectado, embora os usuários possam acessar o servidor de túnel e se conectar aos recursos da organização.

Solução: para resolve esse problema, você deve reinstalar o Microsoft Tunnel, que registra novamente o agente do servidor tunnel com o Intune. Para evitar esse problema, instale atualizações para o agente e o servidor tunnel logo após eles serem lançados. Use as métricas de integridade do servidor tunnel no centro de administração Microsoft Intune para monitorar a integridade do servidor.

Com o Podman, você verá "Verificação de execução de erro" no log mstunnel_monitor

Problema: o Podman não consegue identificar ou ver se os contêineres ativos estão em execução e relata "Verificação de execução de erro" no log mstunnel_monitor do servidor Tunnel. Veja a seguir exemplos dos erros:

• Agente:

  Error executing Checkup
  Error details
  \tscript: 561 /usr/sbin/mst-cli
  \t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger)
  \tstack:
  \t\t<> Checkup /usr/sbin/mst-cli Message: NA
  \t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-agent
  \t\t<> main /usr/sbin/mstunnel_monitor Message: NA
  

• Servidor:

  Error executing Checkup
  Error details
  \tscript: 649 /usr/sbin/mst-cli
  \t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger)
  \tstack:
  \t\t<> Checkup /usr/sbin/mst-cli Message: NA
  \t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-server
  \t\t<> main /usr/sbin/mstunnel_monitor Message: NA
  

Solução: para resolve esse problema, reinicie manualmente os contêineres do Podman. Em seguida, o Podman deve ser capaz de identificar os contêineres. Se o problema persistir ou retornar, considere usar cron para criar um trabalho que reinicie automaticamente os contêineres quando esse problema for visto.

Com o Podman, você verá erros do System.DateTime no log mstunnel-agent

Problema: quando você usa o Podman, o log mstunnel-agent pode conter erros semelhantes às seguintes entradas:

• Failed to parse version-info.json for version information.
• System.Text.Json.JsonException: The JSON value could not be converted to System.DateTime

Esse problema ocorre devido a diferenças nas datas de formatação entre Podman e Tunnel Agent. Esses erros não indicam um problema fatal nem impedem a conectividade. A partir dos contêineres liberados após outubro de 2022, os problemas de formatação devem ser resolvidos.

Solução: para resolve esses problemas, atualize o contêiner do agente (Podman ou Docker) para a versão mais recente. À medida que novas fontes desses erros forem descobertas, continuaremos a corrigi-los em atualizações de versão subsequentes.

Conectividade com Túnel

Falha na conexão dos dispositivos ao servidor do Tunnel

Problema: os dispositivos não conseguem se conectar ao servidor e o arquivo de log ocserv do servidor tunnel contém uma entrada semelhante à seguinte entrada: main: tun.c:655: Can't open /dev/net/tun: Operation not permitted

Para obter orientações sobre como visualizar os logs do Túnel, consulte Exibir logs do Túnel da Microsoft neste artigo.

Solução: reinicie o servidor usando mst-cli server restart após a reinicialização do servidor Linux.

Se este problema persistir, considere automatizar o comando de reinicialização usando o utilitário de agendamento cron. Confira Como usar o cron no Linux em opensource.com.

Próximas etapas

Referência para o Microsoft Tunnel